KLB Klaagbaak
Klaag maar raak voor een knaak.
Security regel je in de hele keten. Je security is zo sterk als de zwakste schakel. Apparaten waar je geen certificaten kunt beheren, wil je niet in (het veilige deel van) je netwerk hebben.quote:Op dinsdag 23 mei 2017 18:28 schreef pnxsinned het volgende:
2: Security dwing je af op de server, niet op de client/device.
Heb geen zin met mensen te praten die op de man spelen, en ook nog onzin spuwen.quote:
[..]
Security regel je in de hele keten. Je security is zo sterk als de zwakste schakel. Apparaten waar je geen certificaten kunt beheren, wil je niet in (het veilige deel van) je netwerk hebben.
VPN was maar een voorbeeld, hoe voorzie jij je smartphone van een CA trust? Niet.
Hoe doe je dat op je SmartTV? Niet.
Dus die diensten moeten dan maar unsecure met dat gepruts van jouw.
Verder:
https://www.globalsign.co(...)signed-certificates/
https://serverfault.com/q(...)ver-internet-why-not
En dan waarom de hele setup met selfsigned shit unsecure is:
https://www.sslshopper.co(...)ates-acceptable.html
Het gebruik van selfsigned certs op internet is enkel veilig wanneer TS dus ELK device beheert waar het pakketje langskomt, of TS moet met een sniffer, even de keys met elke request uitlezen of het ook klopt.
Ik stop nu met argumenten, en referenties etc etc.
Ga jij nu maar eens uitleggen waarom jij denkt dat het goed werk is wat jij hier neerzet!
Denk dat je dan eventjes in de spiegel moet kijken.quote:Op dinsdag 23 mei 2017 18:41 schreef pnxsinned het volgende:
[..]
Heb geen zin met mensen te praten die op de man spelen, en ook nog onzin spuwen.
Nee, dat zeg ik dus helemaal niet. Misschien moet je mijn posts nog maar een keertje lezen.quote:VPN was maar een voorbeeld, hoe voorzie jij je smartphone van een CA trust? Niet.
Hoe doe je dat op je SmartTV? Niet.
Dus die diensten moeten dan maar unsecure met dat gepruts van jouw.
Ja en dat is ook het idee. Het is TS zijn NAS waarop hij alleen toegang hoort te hebben op apparaten die onder zijn beheer zijn. De TS kan uberhaupt niet een veilige gegevensverwerking op apparaten van derde partijen garanderen (tenzij hij periodiek een audit laat doen door een gespecialiseerde organisatie).quote:Het gebruik van selfsigned certs op internet is enkel veilig wanneer TS dus ELK device beheert waar het pakketje langskomt
Denken dat TS elke router beheert op het internet waar het pakketje langsgaat.quote:
[..]
Denk dat je dan eventjes in de spiegel moet kijken.
[..]
Nee, dat zeg ik dus helemaal niet. Misschien moet je mijn posts nog maar een keertje lezen.
[..]
Ja en dat is ook het idee. Het is TS zijn NAS waarop hij alleen toegang hoort te hebben op apparaten die onder zijn beheer zijn. De TS kan uberhaupt niet een veilige gegevensverwerking op apparaten van derde partijen garanderen (tenzij hij periodiek een audit laat doen door een gespecialiseerde organisatie).
Lees je in, of ben stil. Dank.
Ik heb jou 3 linkjes even doorgenomen en daar zie ik geen enkel argument voorbij komen wat jou verhaal ondersteund. De 2e site is sowieso weinig informatief (vraag, antwoord sites zijn bij de weg zelden goede bronnen), de 3e gaat over het gebruiken van self-signed certificaten voor de dienstverlening aan derden, de 1e site geeft terecht aan dat intern gebruik van self-signed certificaten een ongewenst psychologisch effect kan hebben, echter treed dat op bij onjuiste implementatie en heeft dat geen technische oorzaak.quote:
https://www.globalsign.co(...)signed-certificates/
https://serverfault.com/q(...)ver-internet-why-not
En dan waarom de hele setup met selfsigned shit unsecure is:
https://www.sslshopper.co(...)ates-acceptable.html
Waarom zou TS dat moeten? Waar denk je dat end-to-end encryption voor staat?quote:
[..]
Denken dat TS elke router beheert op het internet waar het pakketje langsgaat.
Misschien heb je dit stuk gemist, merk dat lezen niet je sterkste kant is:quote:
[..]
Ik heb jou 3 linkjes even doorgenomen en daar zie ik geen enkel argument voorbij komen wat jou verhaal ondersteund. De 2e site is sowieso weinig informatief (vraag, antwoord sites zijn bij de weg zelden goede bronnen), de 3e gaat over het gebruiken van self-signed certificaten voor de dienstverlening aan derden, de 1e site geeft terecht aan dat intern gebruik van self-signed certificaten een ongewenst psychologisch effect kan hebben, echter treed dat op bij onjuiste implementatie en heeft dat geen technische oorzaak.
Because the Internet works by passing data from router to router until your data gets to it's destination. Every router in between is an opportunity for malicious code on that router to re-write your packet, and you'd never know the difference, unless you have some way to verify that the packet is from the trusted server.
A crypto key, if you have the correct key, can verify for you that the data hasn't been tampered with. The problem is, however, that before you can begin encrypted communications, you must do an unencrypted key exchange, where the server gives you it's crypto key. Here's where the man-in-the-middle has an opportunity. If your traffic is going through my router, I can intercept the self-signed key from the server, and generate a new self-signed key with the same server name, etc in it, so that it looks like the self-signed key from your server, but which allows me to decrypt the communications between you and the server. My router then establishes a connection to the server using the correct key, and as data passes between you and the server, I unencrypt the data using the real key, then re-encrypt it using the 'fake' key. So, the data is encrypted between me and the server, and between me and you, but gets unencrypted in my router, giving me the opportunity to spy on your data, or even alter if if I want.
Veel geluk met jouw setup, waarin maar de helft werkt en niet secure is.
@TS: Synology heeft letsencrypt buildin zitten op synology, klik klik en het is klaar. Veel minder werk en je hebt _alles_ secure, zonder onzin uit te halen op de clients.
[ Bericht 0% gewijzigd door #ANONIEM op 23-05-2017 18:54:22 ]
Misschien niet jouw sterkste kant. Vraag me ook af waarom je niet gelijk met de kern van je verhaal kunt komen.quote:
[..]
Misschien heb je dit stuk gemist, merk dat lezen niet je sterkste kant is:
Inderdaad een risico, als je je key onversleuteld over het internet stuurt. Maar dat is hier natuurlijk niet het geval, de TS stelt zijn key thuis in op zijn eigen apparaten. Daarna kan hij ze dus overal veilig gebruiken, zonder dat van het hierboven geschetste scenario sprake is.quote:Because the Internet works by passing data from router to router until your data gets to it's destination. Every router in between is an opportunity for malicious code on that router to re-write your packet, and you'd never know the difference, unless you have some way to verify that the packet is from the trusted server.
A crypto key, if you have the correct key, can verify for you that the data hasn't been tampered with. The problem is, however, that before you can begin encrypted communications, you must do an unencrypted key exchange, where the server gives you it's crypto key. Here's where the man-in-the-middle has an opportunity. If your traffic is going through my router, I can intercept the self-signed key from the server, and generate a new self-signed key with the same server name, etc in it, so that it looks like the self-signed key from your server, but which allows me to decrypt the communications between you and the server. My router then establishes a connection to the server using the correct key, and as data passes between you and the server, I unencrypt the data using the real key, then re-encrypt it using the 'fake' key. So, the data is encrypted between me and the server, and between me and you, but gets unencrypted in my router, giving me the opportunity to spy on your data, or even alter if if I want.
Onzin, je hebt nog steeds niet kunnen aantonen waarom het niet veilig is.quote:Veel geluk met jouw setup, waarin maar de helft werkt en niet secure is.
En je bent afhankelijk van derde partijen.quote:@TS: Synology heeft letsencrypt buildin zitten op synology, klik klik en het is klaar. Veel minder werk en je hebt _alles_ secure, zonder onzin uit te halen op de clients.
Jouw gepruts is onveilig, teveel werk op de clients (Wat de hele boel dus onveilig maakt), en helft werkt niet.quote:
[..]
Misschien niet jouw sterkste kant. Vraag me ook af waarom je niet gelijk met de kern van je verhaal kunt komen.
[..]
Inderdaad een risico, als je je key onversleuteld over het internet stuurt. Maar dat is hier natuurlijk niet het geval, de TS stelt zijn key thuis in op zijn eigen apparaten. Daarna kan hij ze dus overal veilig gebruiken, zonder dat van het hierboven geschetste scenario sprake is.
[..]
Onzin, je hebt nog steeds niet kunnen aantonen waarom het niet veilig is.
[..]
En je bent afhankelijk van derde partijen.
Heel kort en krachtig.
Met een synology kan je meer dingen dan websites hosten, en buiten dat, jij verwacht dat TS lekker op al zijn devices Root CA gaat adden, om dingen trusted te laten worden? Hoe wilt hij multimedia gaan streamen secure op zijn devices? Prutswerk... simple as that.
En m.b.t. letsencrypt: Nog nooit last gehad dat die eruit lag, maar het is ook maar 1 moment per 3 maanden dat die het nodig heeft, en dat polled DSM zelf. Waarom dingen zo super lastig, als het ook klik klik kan.
[ Bericht 7% gewijzigd door #ANONIEM op 23-05-2017 19:08:08 ]
toch slaag jij er niet in om dat te onderbouwen.quote:
kan een argument zijn.quote:teveel werk op de clients
onzinquote:(Wat de hele boel dus onveilig maakt),
ik stel veiligheid boven functionaliteit, lijkt mij een zeer goed principequote:en helft werkt niet.
Dat apparaat is een NAS en geen webserver. Misschien moet je je eens inlezen in de basisfunctionaliteit van een dergelijk apparaat.quote:Met een synology kan je meer dingen dan websites hosten,
Ja, zie daar niet het probleem van. De uitgever van jouw besturingssysteem doet dat toch ook? Als je veilig wilt wezen moet je eigenlijk sowieso controleren welke certificaten er standaard meekomen met je besturingssysteem.quote:en buiten dat, jij verwacht dat TS lekker op al zijn devices Root CA gaat adden, om dingen trusted te laten worden?
Op apparaten waar je certificaten kunt beheren, geen enkel probleem. Andere apparaten zijn sowieso een veiligheidsrisico, dus die wil je niet in je netwerk.quote:Hoe wilt hij multimedia gaan streamen secure op zijn devices?
Een eigen root CA vertrouwen wil je op geen enkele client, dat alleen al vind ik een security risk. Heel simpelquote:
[..]
toch slaag jij er niet in om dat te onderbouwen.
[..]
kan een argument zijn.
[..]
onzin
[..]
ik stel veiligheid boven functionaliteit, lijkt mij een zeer goed principe
[..]
Dat apparaat is een NAS en geen webserver. Misschien moet je je eens inlezen in de basisfunctionaliteit van een dergelijk apparaat.
[..]
Ja, zie daar niet het probleem van. De uitgever van jouw besturingssysteem doet dat toch ook? Als je veilig wilt wezen moet je eigenlijk sowieso controleren welke certificaten er standaard meekomen met je besturingssysteem.
[..]
Op apparaten waar je certificaten kunt beheren, geen enkel probleem. Andere apparaten zijn sowieso een veiligheidsrisico, dus die wil je niet in je netwerk.
En we hebben het hier over een synology (consumenten versie), en helaas kan je idd geen certs beheren op bv een SmartTV. Maar ik wil dat toch secure hebben, en dat gaat heel simpel, klik klik in DSM. Zonder gepruts van jouw op de clients. En ja, ik wil mijn smartTV in het netwerk houden en neem aan iedereen wel. Non argument dus, nogmaals, security dwing je af vanaf de server.
onnodig dusquote:
En m.b.t. letsencrypt: Nog nooit last gehad dat die eruit lag, maar het is ook maar 1 moment per 3 maanden dat die het nodig heeft,
Niemand garandeert de dienstverlening en de huidige prijsstructuur van letsencrypt. Je hebt er extra software voor nodig op je apparaat, waar potentieel beveiligingsproblemen in kunnen zitten. Verder kan gemak nooit een argument zijn in beveiligingskwesties.quote:en dat polled DSM zelf. Waarom dingen zo super lastig, als het ook klik klik kan.
Jij kent LetsEncrypt duidelijk niet..quote:
[..]
onnodig dus
[..]
Niemand garandeert de dienstverlening en de huidige prijsstructuur van letsencrypt. Je hebt er extra software voor nodig op je apparaat, waar potentieel beveiligingsproblemen in kunnen zitten. Verder kan gemak nooit een argument zijn in beveiligingskwesties.
Het moet wel als je cert vernieuwd moet worden, niet onnodig dus. Dit geld trouwens voor elke CA.
Extra software? Waar? Het zit default in DSM, en deze wordt geregeld voorzien van security updates vanuit synology. Gemak, en velen malen beter dan een selfsigned iets.
Jij vind dat dus. Het is dus jouw mening, die je verder niet kunt onderbouwen.quote:
[..]
Een eigen root CA vertrouwen wil je op geen enkele client, dat alleen al vind ik een security risk. Heel simpel
Ja en dan is het dus niet veilig, omdat de verbinding tussen je TV en de NAS misschien wel veilig is, maar het apparaat zelf dus niet wegens gebrek aan beheermogelijkheden. Hackers kunnen dan je TV hacken en daarna beveiligd verbinding maken met je NAS en via je TV de hele administratie inzien.quote:En we hebben het hier over een synology (consumenten versie),
en helaas kan je idd geen certs beheren op bv een SmartTV. Maar ik wil dat toch secure hebben, en dat gaat heel simpel, klik klik in DSM.
Nee, dat wil ik niet, want daar kan ik dus blijkbaar geen initieele veiligheidsinstellingen regelen, waarmee het een onveilig apparaat wordt, wat ik absoluut niet in (het veilige deel van) mijn netwerk wil hebben.quote:Zonder gepruts van jouw op de clients. En ja, ik wil mijn smartTV in het netwerk houden en neem aan iedereen wel.
Security dwing je ketenbreed af en is zo sterk als de zwakste schakel.quote:Non argument dus, nogmaals, security dwing je af vanaf de server.
Vraag me af, op basis waarvan jij dat concludeert.quote:
[..]
Jij kent LetsEncrypt duidelijk niet..
Fatsoenlijke certificaten hebben een geldigheidsduur van wel meer als 3 maanden en worden via andere mechanismes bijgewerkt.quote:Het moet wel als je cert vernieuwd moet worden, niet onnodig dus. Dit geld trouwens voor elke CA.
Precies het is extra software, die weliswaar standaard aanwezig is, maar die je ook had uit kunnen laten staan.quote:Extra software? Waar? Het zit default in DSM,
Betekend nog niet dat hij vrij is van exploits, enkel dat hij mogelijk na ontdekking van een exploit geupdated wordt.quote:en deze wordt geregeld voorzien van security updates vanuit synology.
Gemak ja. Beter, zul je toch echt even moeten onderbouwen.quote:Gemak, en velen malen beter dan een selfsigned iets.
1: Net zoals het jouw mening is dat het wel secure is, die jij ook verder niet kunt onderbouwen it seems.quote:
[..]
Jij vind dat dus. Het is dus jouw mening, die je verder niet kunt onderbouwen.
[..]
Ja en dan is het dus niet veilig, omdat de verbinding tussen je TV en de NAS misschien wel veilig is, maar het apparaat zelf dus niet wegens gebrek aan beheermogelijkheden. Hackers kunnen dan je TV hacken en daarna beveiligd verbinding maken met je NAS en via je TV de hele administratie inzien.
[..]
Nee, dat wil ik niet, want daar kan ik dus blijkbaar geen initieele veiligheidsinstellingen regelen, waarmee het een onveilig apparaat wordt, wat ik absoluut niet in (het veilige deel van) mijn netwerk wil hebben.
[..]
Security dwing je ketenbreed af en is zo sterk als de zwakste schakel.
2: Ehh, de TV connect dan juist WEL secure, weet je waarom? Omdat het een Valid Cert is van een Valid CA!
Jij snapt er echt geen bal van.3: Nogmaals laat dit zien, dat je het echt niet snapt.
4: Nee, vanaf de server, want jij denkt hoe ik het lees, dat clients dan unsecure gaan doen omdat er geen custom CA imported kan worden wat ik dus een security risk vind
Je hebt je nogal voor lul gezet, en stop nu dan maar ook
1: De beste security zit hem in korte certs, just fyi.quote:
[..]
Vraag me af, op basis waarvan jij dat concludeert.
[..]
Fatsoenlijke certificaten hebben een geldigheidsduur van wel meer als 3 maanden en worden via andere mechanismes bijgewerkt.
[..]
Precies het is extra software, die weliswaar standaard aanwezig is, maar die je ook had uit kunnen laten staan.
[..]
Betekend nog niet dat hij vrij is van exploits, enkel dat hij mogelijk na ontdekking van een exploit geupdated wordt.
[..]
Gemak ja. Beter, zul je toch echt even moeten onderbouwen.
2: De webserver?
Die is nodig voor heel DSM.3: Exploits komen voor op alle routers en/of proxy servers die rechtstreeks aan het internet hangen, dus non argument. Guess wat DSM doet? Juist, proxy.
Haha, ken je DSM? en LetsEncrypt?
Lijkt er echt niet op namelijk.
Mij dunkt dat vooral jij moeite hebt iets te onderbouwen. Kinderachtig om proberen de bewijslast om te draaien, nu ik je vorige argumenten (o.a. die betreffende het versturen van het certificaat over het internet) onderuit heb gehaald.quote:
[..]
1: Net zoals het jouw mening is dat het wel secure is, die jij ook verder niet kunt onderbouwen it seems.
Ja, maar daarmee is het nog niet veilig. Ik kan met mij windows xp computer ook wel een beveiligde verbinding met de NAS waar jij jouw letsencrypt certificaatje hebt ingesteld leggen. Maar dat maakt het absoluut nog niet veilig. Integendeel.quote:2: Ehh, de TV connect dan juist WEL secure, weet je waarom? Omdat het een Valid Cert is van een Valid CA!
leg dan uit.quote:3: Nogmaals laat dit zien, dat je het echt niet snapt.
Denk dat je beter moet lezen, sorry.quote:4: Nee, vanaf de server, want jij denkt hoe ik het lees, dat clients dan unsecure gaan doen omdat er geen custom CA imported kan worden wat ik dus een security risk vind
Dat iemand hier zich voor lul zet lijkt mij evident. Wie dat dan is laat ik maar even in het midden.quote:Je hebt je nogal voor lul gezet, en stop nu dan maar ook
Onzin. Heb je de geldigheidsduur van Rootcertificaten wel eens gezien?quote:
[..]
1: De beste security zit hem in korte certs, just fyi.
quote:2: De webserver?
Wat probeer je hiermee te zeggen?quote:3: Exploits komen voor op alle routers en/of proxy servers die rechtstreeks aan het internet hangen, dus non argument. Guess wat DSM doet? Juist, proxy.
Eh nee, dat heb je niet. Door alle clients te saboteren is het hele gedoe niet secure mijn inziens. Het is een mening, hoe jij jouw mening hebt.quote:
[..]
Mij dunkt dat vooral jij moeite hebt iets te onderbouwen. Kinderachtig om proberen de bewijslast om te draaien, nu ik je vorige argumenten (o.a. die betreffende het versturen van het certificaat over het internet) onderuit heb gehaald.
[..]
Ja, maar daarmee is het nog niet veilig. Ik kan met mij windows xp computer ook wel een beveiligde verbinding met de NAS waar jij jouw letsencrypt certificaatje hebt ingesteld leggen. Maar dat maakt het absoluut nog niet veilig. Integendeel.
[..]
Bovenstaande zet je jezelf weer voor lul
De TV kan nu tenminste secure connecten, op jouw manier gaat hij unsecure connecten, omdat de cert niet valid is. (Er kan immers geen CA imported worden in een SmartTV) Dus gaat de TV lekker unsecure connecten, heel simpel. Weinig uitleg aan nodig. Als je dit nog niet snapt... sorry, dan houd het op, en moet jij je echt gaan inlezen hoe het e.e.a werkt.
1: Nee, dit is geen onzin, ik ga dit niet ook nog eens uitleggen, want het is super logisch als je snapt hoe het e.e.a werkt.quote:
[..]
Onzin. Heb je de geldigheidsduur van Rootcertificaten wel eens gezien?
[..]
[..]
Wat probeer je hiermee te zeggen?
2: Idd, uitgeluld? Geen extra software he?
3: Zelfs dat snap je niet
Waar sabboteer ik dan iets?quote:
[..]
Eh nee, dat heb je niet. Door alle clients te saboteren is het hele gedoe niet secure mijn inziens.
Die van jou is helaas bedroevend onderbouwd. Als je nog op de HAVO zit is dat oké, gezien je leeftijd. Als je al wat verder in het leven bent, raad ik je toch aan om kritisch naar jezelf te kijken.quote:Het is een mening, hoe jij jouw mening hebt.
Onbeveiligde connecties sta je niet toe, dus komt er geen verbinding tot stand.quote:Bovenstaande zet je jezelf weer voor lul
Je bedoelt dat je het zelf niet kan uitleggen, ondanks dat het super logisch is?quote:
[..]
1: Nee, dit is geen onzin, ik ga dit niet ook nog eens uitleggen, want het is super logisch als je snapt hoe het e.e.a werkt.
Nee, jij denkt blijkbaar dat het stukje webserver wat de configuratiepagina's serveert verantwoordelijk is voor de aansturing van de hele NAS.quote:2: Idd, uitgeluld? Geen extra software he?
Nee, zelfs dit kun jij niet uitleggen.quote:3: Zelfs dat snap je niet
Whahahah, 1e 2 punten kerel, mening, #care.quote:
[..]
Waar sabboteer ik dan iets?
[..]
Die van jou is helaas bedroevend onderbouwd. Als je nog op de HAVO zit is dat oké, gezien je leeftijd. Als je al wat verder in het leven bent, raad ik je toch aan om kritisch naar jezelf te kijken.
[..]
Onbeveiligde connecties sta je niet toe, dus komt er geen verbinding tot stand.
Maar dat laatste stuk, ik heb het hier toch zo werkend. Als ik mijn cert vervang door een selfsigned crap iets, werkt mijn TV streaming INSECURE. En nu niet. Je snapt het gewoon niet, terwijl ik het super helder uitleg.
|
|
